Некогда известный и весьма популярный сервис SpamCannibal закрылся в середине прошлого года. Ранее SpamCannibal использовался примерно так же, как Spamhaus и SORBS, — сервис сверялся с множеством источников и собирал информацию о миллионах вредоносных IP-адресов, на основании чего затем составлялись черных списки для отражения спама и DoS-атак.
Издание The Register сообщает, что теперь SpamCannibal используется не только для распространения спама, но и малвари. Так, читатели сообщили журналистам, что визит на сам spamcannibal.org оканчивается лишь получением спама, а то и вовсе предложением загрузить фальшивое обновление для Adobe Flash.
Издание сообщает, что неизвестные злоумышленники смогли изменить настройки DNS для spamcannibal.org, чтобы пользователи обращались к системе, подконтрольной самим преступникам. В итоге проверка любого IP-адреса имела одинаковый исход: SpamCannibal сообщал, что адрес спамерский в любом случае. Выводы журналистов и пользователей уже подтвердили ИБ-специалисты.
If anybody uses spamcannibal's RBL, the domain has been taken over and has a wildcard response - so it returns everything as status spam. https://t.co/wBuzpWLjDR
— Kevin Beaumont ? (@GossiTheDog) May 30, 2018
Аналитики Virus Bulletin пишут, что произошел классический захват истекшего домена. Использование wildcard DNS специалисты так же называют обычной практикой, но в итоге все это приводит к вышеописанным последствиям. По предположениям специалистов, злоумышленники даже не пытались перехватить контроль конкретно над SpamCannibal, и все вышло почти случайно.
В настоящее время бывшие операторы SpamCannibal, похоже, восстановили контроль над доменом, так как ресурс более не называет спамом все подряд, а вообще перестал отвечать на запросы.